Halaman ini diterjemahkan oleh Cloud Translation API.

Berbagi dengan domain terbatas

Berbagi dengan domain terbatas memungkinkan Anda membatasi berbagi resource berdasarkan domain atau resource organisasi. Jika berbagi dengan batasan domain aktif, hanya prinsipal yang termasuk dalam domain atau organisasi yang diizinkan yang dapat diberi peran IAM di Google Cloud organisasi Anda.

Metode untuk membatasi berbagi menurut domain

Ada beberapa cara yang dapat Anda gunakan untuk membatasi berbagi resource berdasarkan domain atau resource organisasi menggunakan Layanan Kebijakan Organisasi:

Batasan terkelola iam.managed.allowedPolicyMembers: Anda dapat menerapkan batasan terkelola ini untuk mengizinkan pemberian peran hanya kepada akun utama dan set akun utama yang Anda cantumkan dalam batasan.

Dengan batasan terkelola ini, Anda mencantumkan akun utama dan set akun utama yang ingin Anda izinkan untuk diberi peran. Untuk mengizinkan pemberian peran kepada semua akun utama di organisasi Anda, sertakan set akun utama organisasi dalam batasan.

Untuk mempelajari cara menyetel batasan ini, lihat Menggunakan batasan iam.managed.allowedPolicyMembers untuk menerapkan berbagi dengan batasan domain.
Kebijakan organisasi kustom yang mereferensikan resource iam.googleapis.com/AllowPolicy: Anda dapat menggunakan kebijakan organisasi kustom untuk mengizinkan pemberian peran hanya kepada sekumpulan akun utama tertentu.

Dalam sebagian besar kasus, Anda harus menggunakan batasan terkelola iam.managed.allowedPolicyMembers, bukan menggunakan kebijakan organisasi kustom. Namun, opsi konfigurasi berikut hanya tersedia jika Anda menggunakan kebijakan organisasi kustom:
- Mengonfigurasi principal yang diizinkan berdasarkan jenis anggota
- Mencegah pemberian peran kepada akun utama tertentu
- Mengizinkan peran diberikan kepada akun utama khusus seperti allUsers dan allAuthenticatedUsers
Untuk menyiapkan berbagi yang dibatasi domain dengan kebijakan organisasi kustom, Anda menggunakan fungsi CEL berikut untuk menentukan siapa yang dapat diberi peran di organisasi Anda:
Agar peran dapat diberikan kepada semua akun utama di organisasi Anda, tentukan kumpulan akun utama organisasi Anda dalam fungsi memberInPrincipalSet sertakan kumpulan akun utama organisasi dalam batasan.

Untuk mempelajari lebih lanjut cara membuat kebijakan organisasi kustom menggunakan fungsi CEL ini, lihat Menggunakan kebijakan organisasi kustom untuk menerapkan berbagi terbatas domain.
Batasan terkelola lama iam.allowedPolicyMemberDomains: Anda dapat menerapkan batasan terkelola lama ini agar hanya mengizinkan peran diberikan kepada akun utama di organisasi Anda. Anda dapat membatasi akses berdasarkan ID resource organisasi atau ID pelanggan Google Workspace Anda. Untuk melihat perbedaan antara ID ini, lihat ID resource organisasi versus ID pelanggan Google Workspace di halaman ini.

Batasan ini tidak memungkinkan Anda mengonfigurasi pengecualian untuk prinsipal tertentu. Misalnya, bayangkan Anda perlu memberikan peran kepada agen layanan di organisasi yang menerapkan batasan iam.allowedPolicyMemberDomains. Agen layanan dibuat dan dikelola oleh Google, sehingga agen layanan bukan bagian dari organisasi Anda, akun Google Workspace Anda, atau domain Cloud Identity Anda. Oleh karena itu, untuk memberikan peran kepada agen layanan, Anda harus menonaktifkan batasan, memberikan peran, lalu mengaktifkan kembali batasan.

Anda dapat mengganti kebijakan organisasi di tingkat folder atau project untuk mengubah pengguna yang diizinkan untuk diberi peran di folder atau project tertentu. Untuk mengetahui informasi selengkapnya, lihat Mengganti kebijakan organisasi untuk project.

Untuk mempelajari cara menyetel batasan ini, lihat Menggunakan batasan iam.allowedPolicyMemberDomains untuk menerapkan berbagi dengan batasan domain.

Catatan: Jika organisasi Anda dibuat pada atau setelah 3 Mei 2024, maka batasan bawaan iam.allowedPolicyMemberDomains diterapkan secara default, dengan domain Anda tercantum sebagai satu-satunya nilai yang diizinkan.

Cara kerja berbagi dengan domain terbatas

Saat Anda menggunakan kebijakan organisasi untuk menerapkan berbagi yang dibatasi domain, tidak ada prinsipal di luar domain dan individu yang Anda tentukan yang dapat diberi peran IAM di organisasi Anda.

Bagian berikut menguraikan beberapa detail penting tentang cara kerja batasan berbagi dengan domain tertentu di organisasi Anda.

Batasan tidak berlaku surut

Batasan kebijakan organisasi tidak berlaku surut. Setelah pembatasan domain ditetapkan, batasan ini berlaku untuk perubahan kebijakan izin yang dilakukan sejak saat itu dan seterusnya, dan tidak berlaku untuk perubahan sebelumnya.

Misalnya, pertimbangkan dua organisasi terkait: examplepetstore.com dan altostrat.com. Anda telah memberikan peran IAM di altostrat.com kepada identitas examplepetstore.com. Kemudian, Anda memutuskan untuk membatasi identitas berdasarkan domain, dan menerapkan kebijakan organisasi dengan batasan pembatasan domain di altostrat.com. Dalam hal ini, identitas examplepetstore.com yang ada tidak akan kehilangan akses di altostrat.com. Mulai saat itu, Anda hanya dapat memberikan peran IAM kepada identitas dari domain altostrat.com.

Batasan berlaku setiap kali kebijakan IAM ditetapkan

Batasan pembatasan domain berlaku untuk semua tindakan saat kebijakan IAM ditetapkan. Hal ini mencakup tindakan otomatis. Misalnya, batasan berlaku untuk perubahan yang dilakukan oleh agen layanan sebagai respons terhadap tindakan lain. Misalnya, jika Anda memiliki layanan otomatis yang mengimpor set data BigQuery, agen layanan BigQuery akan membuat perubahan kebijakan IAM pada set data yang baru dibuat. Tindakan ini akan dibatasi oleh batasan pembatasan domain dan diblokir.

Batasan tidak secara otomatis menyertakan domain Anda

Domain organisasi Anda tidak otomatis ditambahkan ke daftar yang diizinkan dari kebijakan saat Anda menetapkan batasan pembatasan domain. Untuk mengizinkan prinsipal di domain Anda diberi peran IAM di organisasi Anda, Anda harus menambahkan domain Anda secara eksplisit. Jika Anda tidak menambahkan domain dan peran Administrator Kebijakan Organisasi (roles/orgpolicy.policyAdmin) dihapus dari semua pengguna di domain Anda, maka kebijakan organisasi tidak dapat diakses.

Grup Google dan berbagi dengan domain terbatas

Jika batasan domain diterapkan di organisasi Anda, Anda mungkin tidak dapat memberikan peran ke grup Google yang baru dibuat, meskipun grup tersebut termasuk dalam domain yang diizinkan. Hal ini karena diperlukan waktu hingga 24 jam agar grup dapat diterapkan sepenuhnya Google Cloud. Jika Anda tidak dapat memberikan peran ke grup Google yang baru dibuat, tunggu selama 24 jam, lalu coba lagi.

Selain itu, saat mengevaluasi apakah suatu grup termasuk dalam domain yang diizinkan, IAM hanya mengevaluasi domain grup tersebut. Fitur ini tidak mengevaluasi domain anggota grup mana pun. Akibatnya, administrator project dapat melewati batasan domain dengan menambahkan anggota dari luar ke grup Google, lalu memberikan peran ke grup Google tersebut.

Untuk memastikan bahwa administrator project tidak dapat melewati batasan domain, administrator Google Workspace harus memastikan bahwa pemilik grup tidak dapat mengizinkan anggota dari luar domain di panel administrator Google Workspace.

ID resource organisasi versus ID pelanggan Google Workspace

Jika Anda menggunakan batasan terkelola lama iam.allowedPolicyMemberDomains untuk menerapkan berbagi yang dibatasi domain, Anda dapat membatasi akses berdasarkan ID resource organisasi atau ID pelanggan Google Workspace.

Menggunakan ID resource organisasi Anda memungkinkan akun utama berikut diberi peran di organisasi Anda:

Semua workforce identity pool di organisasi Anda
Semua akun layanan dan workload identity pool dalam project apa pun di organisasi
Semua agen layanan yang terkait dengan resource di organisasi Anda

Menggunakan ID pelanggan Google Workspace Anda memungkinkan pokok keamanan berikut diberi peran di organisasi Anda:

Semua identitas di semua domain, termasuk subdomain, yang terkait dengan ID pelanggan Google Workspace Anda
Semua workforce identity pool di organisasi Anda
Semua akun layanan dan workload identity pool dalam project apa pun di organisasi
Semua agen layanan yang terkait dengan resource di organisasi Anda.

Jika Anda ingin menerapkan berbagi dengan batasan domain untuk subdomain tertentu, Anda harus membuat akun Google Workspace terpisah untuk setiap subdomain. Untuk informasi selengkapnya tentang cara mengelola beberapa akun Google Workspace, lihat Mengelola beberapa organisasi.